In einer Zeit, in der die Technologie unseres Alltags prägt, hat die biometrische Gesichtserkennung eine markante Rolle übernommen. Von der Authentifizierung bis zur Überwachung, von Unternehmen bis zum privaten Gebrauch, durchdringt sie unsere Lebensbereiche auf vielfältigere Weise.
Gesichtserkennung – Funktion und Einsatz
Es ist erstaunlich, wie Gesichtserkennung unseren Alltag prägt. Viele Menschen nutzen sie bereits im privaten Gebrauch zum mühelosen Entsperren von Smartphones oder Tablets. Eine Kamera erfasst die charakteristischen Gesichtsmerkmale, wie Wangenknochen, Kinnpartie, Augenhöhlen, Seitenpartien des Mundes und verarbeitet sie mithilfe mathematischer Algorithmen. Das erfasste Gesichtsbild wird anschließend mit allen gespeicherten Bildern aus der Datenbank verglichen. In der Geschäftswelt wird bislang diese Technologie vor allem von öffentlichen Stellen wie der Polizei genutzt, bei der Täterfahndung oder Opferfindung. Nun gewinnt sie auch in anderen Unternehmen an Bedeutung. Die Verwendungsmöglichkeiten sind dabei breit gestreut: Authentifizierung, Identifikation oder Verifikation sind damit möglich. Unternehmen nutzen es weiter zur Profilbildung, Überwachung und sogar nutzen für Marketingzwecke.
Wenngleich das Entsperren technischer Geräte mittels Gesichtserkennung klare Vorteile bitten, wie das obsolet machen von Passwörtern, der damit verbundene Komfortgewinn und die erhöhte Sicherheit bei Hackerangriffen, ist es dennoch nicht frei von Risiken. Ein markantes Beispiel bildet dabei der erfolgreiche Versuch, das Face-ID System des iPhoneX innerhalb einer Woche zu überlisten.
Datenschutz und rechtliche Aspekte
Da die Gesichtserkennung auf der Verarbeitung von Daten (Gesichtsmerkmale) von Personen beruht, unterliegt sie der DSGVO. Die biometrischen Daten werden in Art. 4 DSGVO definiert und gelten gemäß Art. 9 DSGVO zu einer besonderen Kategorie personenbezogener Daten. Die Verarbeitung ist somit in den meisten Fällen verboten. Die Ausnahmen bilden hierbei die Verarbeitung, um bestimmte Rechte und Pflichten wahrzunehmen (nach Art. 9 Abs. 2 lit. b DSGVO) oder die zweckgebundene Einwilligung der Betroffenen liegt vor (nach Art. 9 Abs. 2 lit. a DSGVO).
Dies wird leider nicht von allen Unternehmen berücksichtigt. Das US-amerikanische Unternehmen Clearview AI und das afrikanische Unternehmen PimEyes sammeln und nutzen Bilder, welche sie aus dem Internet entnommen haben, für Ihre Vergleichsdatenbank. Über 3 Millarden Bilder wurden dabei aus dem öffentlichen Internet, sozialen Medien oder Nachrichtenmedien gezogen. Problematisch ist dabei, dass dies ohne ausdrückliche Einwilligung und ohne Information der Nutzer geschah.
Der deutsche Bundesdatenschutzbeauftragte erklärt, dass die Verwendung und Verarbeitung der biometrischen Daten somit nicht der DSGVO entspreche und daher rechtlich nicht zulässig sei. Dennoch konnten die europäischen Datenschutzbehörden bislang beide Unternehmen nicht nachhaltig sanktionieren. Durch die Verlagerung des Sitzes von PimEyes auf die Seychellen ist das Verhängen von Bußgeldern nur durch eine Kooperation der Seychellen möglich. Die Zahlung von Bußgelder des Unternehmens Clearview AI wurde von 4 Aufsichtsbörden Europas gefordert. Unklar ist derzeit noch, ob diese Zahlung stattfand.
Ausblick
Die Zukunft der Gesichtserkennung hängt von klaren und einheitlichen Regelungen ab, die den Datenschutz gewährleisten. Ein dringender Appell geht an den europäischen Gesetzgeber, der hoffentlich schnell handelt, um die Nutzung biometrischer Gesichtserkennung zu regeln und deren Durchsetzung über Ländergrenzen hinweg zu gewährleisten. Die Spannung zwischen Innovation und Datenschutz bleibt bestehen, während die Gesellschaft sich den Herausforderungen einer zunehmend digitalisierten Welt stellt.
Bei weiteren Fragen stehen wir Ihnen jederzeit zur Verfügung. Gern unterstützen wir Sie bei der Umsetzung in Ihrer Organisation.
Folgende Beiträge könnten Sie auch interessieren: